关于 IPS 签名页面
您的位置: 安全服务 > IPS > 签名。
入侵防御系统 (IPS) 会将流量与已知威胁的签名进行比较,并在检测到威胁时阻止流量。网络入侵是对网络资源的攻击或其他误用。要检测此类活动,IPS 会使用签名。签名指定设备应检测和报告的网络入侵类型。只要流量模式与签名匹配,IPS 会触发告警并阻止流量到达目的地。IPS 的关键组件之一是签名数据库。它包含用于定义 IPS 策略规则的不同对象的定义,如攻击对象、应用程序签名对象和服务对象。
您可以对攻击对象进行分组,以确保 IPS 策略有条不紊且易于管理。一个攻击对象组可以包含一个或多个类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
-
IPS 签名 — 包含签名数据库中的对象。
-
动态组 — 包含符合指定匹配标准的攻击对象。在签名更新期间,动态组成员身份将根据该组的匹配标准自动更新。例如,您可以使用动态攻击组过滤器对与特定应用程序相关的攻击进行动态分组。
-
静态组 — 包含攻击定义中指定的攻击列表。
您可以执行的任务
您可以从此页面执行以下任务:
-
将 IPS 签名与 IPS 策略相关联。为此,请单击 IPS 签名页面标题下方的 IPS 策略链接,直接导航至 IPS 策略页面。然后,单击 Add rules(添加规则 )将 IPS 签名分配给特定策略。有关更多信息,请参阅 向 IPS 策略添加规则。
- 查看 IPS 签名预定义攻击或攻击组列表。为此,请单击 预定义 选项卡,并从“视图 by”列表中选择 预定义的攻击 或 预定义的攻击组 。
-
查看预定义 IPS 签名的详细信息。为此,请在预定义选项卡中选择现有 IPS 签名,然后按照可用选项操作:
-
单击 “更多 ”并选择 详细视图。
-
右键单击所选 IPS 签名并选择 详细视图。
-
悬停在所选 IPS 签名名称的左侧,然后单击 详细视图 图标。
-
- 查看自定义攻击、静态组或动态组的自定义签名。为此,请单击 CUSTOM 选项卡,并从“查看方式”列表中选择 自定义攻击、 静态组或 动态组 。
-
导入 snort 规则,将其转换为自定义攻击。请参阅 导入 Snort 规则。
-
创建 IPS 签名自定义攻击。请参阅 创建自定义 IPS 签名。
-
创建 IPS 签名静态组。请参阅 创建 IPS 签名静态组。
-
创建 IPS 签名动态组。请参阅 创建 IPS 签名动态组。
-
查看自定义攻击、静态组和动态组的 IPS 签名的详细信息。为此,请在 CUSTOM 选项卡中选择现有 IPS 签名、静态组或动态组,然后按照可用的选项:
-
单击 “更多 ”并选择 详细视图。
-
右键单击所选 IPS 签名并选择 详细视图。
-
悬停在所选 IPS 签名的左侧,然后单击 详细视图。
-
-
克隆 IPS 签名。请参阅 克隆 IPS 签名。
-
编辑 IPS 签名。请参阅 编辑 IPS 签名。
-
删除 IPS 签名。请参阅 删除 IPS 签名。
-
显示或隐藏预定义表中的列。为此,请单击预定义表格右上角的显示隐藏列图标。然后,选择要查看的选项,或者清除想要在页面上隐藏的选项。
-
高级搜索预定义或自定义 IPS 签名。为此,请使用表格网格上方的搜索文本框。搜索将逻辑运算符作为过滤器字符串的一部分。在搜索文本框,将鼠标悬停在该图标上时,将显示过滤器条件示例。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。
对于高级搜索:
-
在文本框输入搜索字符串。
根据您的输入,将显示过滤器上下文菜单中的项目列表。
-
从列表中选择一个值,然后根据要执行高级搜索操作的有效运算符进行选择。
注意:按空格键将 AND 运算符或 OR 运算符添加到搜索字符串中。预定义签名仅支持 AND 运算符。键入搜索标准时,随时按回空格,仅删除一个字符。
-
按 Enter 在网格中显示搜索结果。
-
字段说明
领域 |
描述 |
---|---|
名字 |
显示预定义 IPS 签名的名称。 |
类别 |
显示攻击对象的类别。 |
严重性 |
显示签名将报告的攻击严重性级别。 |
攻击类型 |
显示攻击对象类型是否为签名、异常或链。
注意:
此字段仅适用于预定义的攻击。 |
类型攻击 |
显示攻击类型是静态的还是动态组。
注意:
此字段仅适用于预定义的攻击组。 |
推荐 |
指示攻击对象是瞻博网络推荐的(真)还是不(假)。 |
建议的操作 |
显示当受监控的流量与 IPS 规则指定的攻击对象匹配时所采取的措施。 |
误报 |
显示攻击在网络上产生误报的频率或频率。 |
性能 |
显示 IPS 签名性能影响过滤器或过滤器。 |
方向 |
显示可检测到攻击的流量方向或流量方向。例如,客户端到服务器。 |
服务 |
显示攻击用来进入网络的协议、服务或协议和服务列表。 |
领域 |
描述 |
---|---|
查看者:自定义攻击 |
|
名字 |
显示自定义攻击 IPS 签名的名称。 |
严重性 |
显示签名将报告的攻击严重性级别。 |
攻击类型 |
显示攻击对象类型是否为签名、异常或链。 |
建议的操作 |
显示当受监控的流量与 IPS 规则中规定的攻击对象匹配时所采取的措施。 |
查看者:静态组 |
|
名字 |
显示静态组 IPS 签名的名称。 |
组成员 |
显示属于 IPS 静态组的 IPS 签名或 IPS 签名动态组。 |
查看者:动态组 |
|
名字 |
显示动态组 IPS 签名的名称。 |
攻击前缀 |
显示攻击名称前缀匹配的值。 |
严重性 |
显示签名将报告的一个或多个攻击的严重级别。 |
攻击类型 |
显示攻击对象类型是否为签名、异常或链。 |
类别 |
显示攻击对象的类别。 |
方向 |
显示可检测到攻击的流量方向或流量方向。例如,客户端到服务器。 |
排除攻击 |
显示作为数据库更新一部分的已排除攻击。 |
文件类型 |
显示用作动态组过滤器的攻击文件类型。 |
误报 |
显示攻击在网络上产生误报的频率或频率。 |
推荐 |
指示攻击对象是瞻博网络推荐的(真)还是不(假)。 |
服务 |
显示攻击用来进入网络的协议、服务或协议和服务列表。 |
供应商 |
显示攻击所属的供应商或产品。 |
漏洞类型 |
显示一个或多个用作动态组过滤器的攻击漏洞类型。 |
性能 |
性能影响用于动态组的过滤器或过滤器。 |
CVSS 分数 |
显示通用漏洞评分系统 (CVSS) 分数或用作动态组过滤器的分数。 |
攻击年龄 |
显示用作动态组过滤器的攻击年龄(以年表示)。 |